© 2017, Anthemis s.a.
Place Albert I, 9 B-1300 Limal
Tél. 32 (0)10 42 02 90 – info@anthemis.be – www.anthemis.be
La version en ligne de cet ouvrage
est disponible sur la bibliothèque
digitale Jurisquare à l’adresse
www.jurisquare.be.
De online versie van dit
boek is beschikbaar in de
Jurisquare Bibliotheek op
www.jurisquare.be.
Toutes reproductions ou adaptations totales ou partielles de ce livre,
par quelque procédé que ce soit et notamment par photocopie, réservées pour tous pays.
Alle rechten voorbehouden. Behoudens uitdrukkelijk bij wet bepaalde uitzonderingen mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt, op welke wijze ook, zonder de uitdrukkelijke voorafgaande toestemming van de uitgevers.
D/2017/10.622/2
ISBN : 978-2-8072-0413-3
SOMMAIRE/INHOUD
VOORWOORD
PHILIPPE DE BACKER
PRÉFACE
PHILIPPE DE BACKER
WOORD VOORAF
PHILIPPE LAMBRECHT EN NATHALIE RAGHENO
AVANT-PROPOS
PHILIPPE LAMBRECHT ET NATHALIE RAGHENO
DROITS FONDAMENTAUX ET SOCIÉTÉ NUMÉRIQUE :
LA VIE PRIVÉE EXISTE-T-ELLE ENCORE ?
NATHALIE RAGHENO
CONSENTEMENT ET INTÉRÊT LÉGITIME DANS LE SECTEUR PRIVÉ
BENJAMIN DOCQUIR
DE PRIVACY TUIN VAN IOT
IVAN VANDERMEERSCH
HERBESTEMMING VAN VERZAMELDE PERSOONSGEGEVENS VOOR ANDERE DOELEINDEN
PROF. DR. PATRICK VAN EECKE EN CHARLOTTE SUFFYS
THE DATA PROCESSOR’S NEW OBLIGATIONS UNDER THE GDPR:
A RESTORED BALANCE OR A SHIFT OF RESPONSIBILITIES?
ROXANE TAMAS
DE DPO OF FUNCTIONARIS VOOR GEGEVENSBESCHERMING
IN DE AVG – GEVOLGEN VOOR DE BELGISCHE PRAKTIJK
DIRK DE BOT
LA LICÉITÉ DU TRAITEMENT DE DONNÉES PERSONNELLES
DU TRAVAILLEUR AU REGARD DU NOUVEAU RÈGLEMENT (UE) N° 2016/679 SUR LA PROTECTION DES DONNÉES
EMMANUEL PLASSCHAERT
DE AANSPRAKELIJKHEID VAN DE WERKGEVER IN HET LICHT
VAN ZIJN NIEUWE VERPLICHTINGEN ONDER DE ALGEMENE
VERORDENING GEGEVENSBESCHERMING
CHRIS VAN OLMEN EN CECILIA LAHAYE
GEGEVENSBESCHERMING EN AVG IN PRAKTIJK:
IMPACT EN AANSPRAKELIJKHEID BIJ EEN M&A-TRANSACTIE
CAROLYNE VANDE VORST
TRANSBORDER DATA FLOW: TODAY AND TOMORROW
TANGUY VAN OVERSTRAETEN
CLOUD COMPUTING – STATUS EN IMPACT VAN DE GDPR
FREDERIK VAN REMOORTEL
LES TROIS PREMIERS GUIDES D’IMPLÉMENTATION
DU GDPR PUBLIÉS PAR LE G29
THIERRY LÉONARD, DIDIER CHAUMONT ET OLIVIA GUERGUINOV
DE DRIE RICHTSNOEREN VAN DE WERKGROEP ARTIKEL 29
OLIVIER VANDEPUTTE
GDPR: HOW TO GET PREPARED BY THE 25TH OF MAY 2016?
THE BELGIAN DPA URGES YOU TO TAKE 13 STEPS NOW
JOËLLE JOURET AND VALÉRIE VERBRUGGEN
Dit werk is essentieel voor de dialoog over de uitvoering van de nieuwe Europese regelgeving over de bescherming van persoonsgegevens. De bijdragen in dit boek werden geschreven door gerenommeerde specialisten. Voor de gelegenheid zijn ze de uitdaging aangegaan om hun kennis op een creatieve en transparante manier te delen. Daarom vind ik het een eer om het voorwoord hierbij te mogen schrijven.
De laatste jaren is het begrip ‘privacybescherming’ steeds belangrijker geworden, op verscheidene vlakken: de achterliggende verplichtingen en bezorgdheden, de focus op grondrechten door nieuwe belangenverenigingen, en de steeds hogere eisen van burgers en consumenten.
Zoals geldt voor veel grondbeginselen, is de impact van de bescherming van het privéleven en de diverse aspecten ervan anders op individueel, maatschappelijk en normatief niveau. Iedereen bepaalt geval per geval zijn eigen benadering – professioneel, privé, volgens zijn eigen belang… – soms ten nadele van de samenhang van het geheel.
Om de ingewikkelde en soms tegenstrijdige visies te kunnen begrijpen, moet de privacybescherming niet als een abstract – juridisch, economisch of maatschappelijk – begrip worden beschouwd, maar als een bron van inkomsten, een methodisch en gecontroleerd beheer van een van de meest kostbare hulpbronnen van de hedendaagse economie: persoonsgegevens. Als je ervan uitgaat dat persoonsgegevens een nieuw eldorado zijn, is het logisch om ze te beschermen en waarderen.
Daar waar vroeger privacy en gegevensbescherming aparte begrippen waren, is de bescherming van het privéleven tegenwoordig een nog grotere uitdaging geworden door de toename van de digitaliserings-, opslag-, verwerkings-, verspreidings- en uitwisselingscapaciteiten van gigantische hoeveelheden gegevens.
Kunnen burgers en bedrijven samen deze hulpbron benutten?
De nieuwe Algemene Verordening Gegevensbescherming dient als basis voor de uitwerking van een digitale strategie.
En hoewel deze verordening voor meer verantwoordelijkheden zorgt, mag men niet uit het oog verliezen dat haar oorspronkelijke doel erin bestaat de Europese digitale markt toegankelijker te maken.
De verordening is uiteraard bindend, maar ze wil vooral de 28 verschillende praktijken in de Europese Unie harmoniseren. Ze moet dus het verkeer van digitale gegevens en diensten stimuleren. Dit betekent een grote stap vooruit voor bedrijven, want die zullen zich niet meer moeten aanpassen aan verschillende wetgevingen en zullen dus op Europees niveau gestroomlijnde digitale strategieën kunnen uitwerken voor en met gegevensverwerking.
De eerste uitdaging is dus de gegevensbescherming, die nu een zaak is van iedereen.
De toekomstige gegevensbeschermingsautoriteit zal zich op haar centrale rol moeten toespitsen, namelijk het doen naleven van het recht op gegevensbescherming. De verwerkingsverantwoordelijken moeten de privacynormen dan weer toepassen.
In dit opzicht zou het mijns inziens het beste zijn dat de sanctie een hefboom is, maar geen doel op zich. Dit is de geest van de hervorming van de organieke wetgeving die ik voorbereid.
Door sancties te voorzien, vergroot de Europese verordening ook de verantwoordelijkheden. Maar om de draagwijdte daarvan goed te begrijpen, moet iedereen worden begeleid en gecoacht door de toekomstige gegevensbeschermingsautoriteit. Deze tweezijdige benadering – begeleiding en controle – zal het werk van de verwerkingsverantwoordelijken die met het oog op compliance de nodige inspanningen leveren en de nodige hulpmiddelen inzetten, ten volle valoriseren.
Compliance is dus de noodzakelijke randvoorwaarde voor een efficiënte digitale strategie.
Daarmee komen we dan tot de tweede uitdaging: de gegeven kansen benutten.
Naast de naleving van de wetten moeten de bedrijven er namelijk ook voor zorgen dat hun processen en gegevensverwerkingen de best mogelijke resultaten opleveren.
De verwerking van persoonsgegevens biedt inderdaad veel mogelijkheden om zinnige en nuttige dingen te realiseren; de technologische vooruitgang heeft nog steeds een aanzienlijk potentieel waarvan we de limieten niet kennen. Er bestaan talrijke toepassingen: een vlotte mobiliteit, gezondheidszorg op maat, een betere luchtkwaliteit enzovoort.
Om dit potentieel te ontdekken en realiseren, moet elk bedrijf zich voortaan buigen over zijn eigen gegevens en verwerkingsprocessen, op een transversale en interdisciplinaire manier.
Goed nieuws dus voor de gegevensbescherming en alle democratische garanties die dit recht met zich meebrengt. Maar ook goed nieuws voor de bedrijven, die dit nieuwe tijdperk en kader kunnen benutten om hun gegevensverwerkingen te analyseren, te overdenken en te optimaliseren en zo te werken aan kwaliteitsvollere producten en diensten, meer vertrouwen bij hun klanten en efficiëntere processen.
Naar aanleiding van het colloquium en het verslagboek ervan nodig ik u uit om deze toekomstgerichte materie te gebruiken om de digitale cultuur binnen uw bedrijf te ontwikkelen.
Veel leesplezier!
Philippe DE BACKER
Staatssecretaris voor Privacy
Le présent recueil d’écrits émane des plus grands spécialistes ; pour l’occasion, ils ont relevé le défi de produire de la connaissance et de la partager sous une forme créative et claire.
Il s’agit d’un travail essentiel pour le dialogue autour de la mise en œuvre de la nouvelle règlementation européenne en matière de protection des données personnelles. C’est donc un honneur, pour moi, d’en assurer la préface.
La notion de protection de la vie privée n’a cessé de gagner en importance au cours des dernières années. Dans une multiplicité de dimensions : les obligations qu’elle entraîne et les craintes que cela déclenche, l’étendard des droits fondamentaux brandi par des groupements d’intérêts d’un nouveau genre ou, encore, l’exigence de plus en plus ferme du citoyen et du consommateur.
À l’image de bien d’autres concepts fondamentaux, la protection de la vie privée et ses rouages ne fonctionnent pas de la même manière à l’échelle individuelle, à l’échelle sociétale ou encore au niveau normatif. Chacun détermine son approche au cas par cas – professionnel, privé, selon les enjeux… – au détriment, parfois, de la cohérence.
Pour sortir des visions complexes et parfois contradictoires, je vous invite à considérer la protection de la vie privée non pas comme une notion abstraite – juridique, économique ou sociétale –, mais pour les bénéfices qu’elle apporte : une gestion méthodique et maîtrisée d’une des ressources les plus précieuses de l’économie d’aujourd’hui, les données personnelles. Si l’on souscrit à l’adage selon lequel les données personnelles constituent le nouvel eldorado, il est logique de vouloir les protéger et les valoriser.
De plus, si vie privée et protection des données étaient auparavant des concepts distincts, la protection de la vie privée est devenue un défi encore plus grand aujourd’hui, à la suite de l’augmentation des capacités de numérisation, de stockage, de traitement, de diffusion ou, encore, d’échange d’énormes masses de données.
Citoyens et entreprises peuvent-ils, ensemble, tirer parti de cette ressource ?
Le nouveau Règlement européen est une base pour concevoir sa stratégie numérique.
S’il est vrai qu’il entraîne plus de responsabilités, il faut néanmoins garder à l’esprit que le Règlement a pour but initial de faciliter le marché numérique européen.
Tout contraignant soit-il, il est d’abord l’harmonisation de vingt-huit pratiques différentes au sein de l’Union européenne. Aussi, le Règlement doit stimuler la circulation des données et des services numériques. C’est un grand pas en avant pour les entreprises, qui ne devront plus s’adapter à différentes législations.
Revenons sur le premier enjeu : la protection des données. Désormais, celle-ci est l’affaire de tous.
La future autorité de la protection des données, pour sa part, devra se concentrer sur son rôle clé : faire respecter le droit relatif à la protection des données. Les responsables de traitement, pour leur part, doivent appliquer les normes en matière de vie privée.
Cependant, il est important, et c’est mon souhait, que la sanction soit le levier et pas l’objectif. C’est dans cet esprit que se fait la réforme de la législation organique que j’engage.
Le Règlement européen, en prévoyant des sanctions, accroît les responsabilités. Mais, pour en saisir la portée, chacun pourra être accompagné et coaché par la future autorité de la protection des données. C’est cet axe double, accompagnement et contrôle, qui valorisera réellement le travail des responsables de traitement qui déploient les efforts et les ressources nécessaires pour être en conformité.
La conformité est, en cela, le préalable nécessaire d’une stratégie numérique efficace.
Et cela nous emmène au second enjeu : la valorisation.
Car, au-delà du respect des lois, il revient à chaque entreprise d’interroger ses processus et ses traitements de données pour que ceux-ci soient les plus profitables.
En effet, les possibilités qu’offre le traitement de données personnelles pour réaliser des choses sensées et utiles ne manquent pas ; le progrès technologique recèle encore un potentiel considérable dont nous sommes loin de connaître les limites. Les applications sont légion : une mobilité fluide, des soins de santé sur mesure, une meilleure qualité de l’air, etc.
Aussi, pour découvrir et réaliser ce potentiel, chaque entreprise doit désormais s’intéresser à ses données et à ses processus de traitement. Et ceci, de manière transversale et interdisciplinaire.
Une bonne nouvelle pour la protection des données et toutes les garanties de démocratie que ce droit porte en lui. Mais une bonne nouvelle aussi pour les entreprises, qui peuvent utiliser cette nouvelle ère et ce nouveau cadre pour analyser, réfléchir, optimiser leurs traitements de données. Gagner en qualité dans leurs produits et services, en confiance des clients, en efficacité des processus.
À l’image du colloque et de ses actes, dont je vous souhaite une lecture fructueuse, je vous invite à saisir cette matière d’avenir pour développer la culture numérique de votre entreprise.
Philippe DE BACKER
Secrétaire d’État à la Protection de la vie privée
De Algemene Verordening Gegevensbescherming (in het Engels: General Data Protection Regulation of GDPR) trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018.
Met deze verordening wil de EU de bescherming van de privacy en, in samenhang daarmee, de bescherming van persoonsgegevens moderniseren. De GDPR is meer dan zomaar een nieuw stuk regelgeving. Ze luidt een nieuwe manier van werken in: een nieuwe manier om gegevens te beheren, een nieuwe manier om met het doorspelen ervan aan derden om te gaan en met mogelijke onderlinge verbondenheid tussen deze gegevens. Voor de ondernemingen vormt de GDPR tegelijk een mooie gelegenheid om hun bestanden en verwerkingen nauwkeurig in kaart te brengen. Of om de maatregelen die ze al hebben genomen of nog moeten nemen om gegevens te beveiligen, goed tegen het licht te houden.
De nieuwe regelgeving betekent meer verantwoordelijkheid voor ondernemingen en overheden die gegevens registreren en verwerken. In het licht van de omvang van de hervorming wilde het VBO daarom proactief zijn, en deed dat door in de loop van het voorbije jaar in zijn lokalen een reeks interactieve informatiesessies te houden. Die Data Protection-ateliers konden telkens op veel belangstelling rekenen. De opzet was de deelnemers te sensibiliseren rond de onmiddellijke en praktische gevolgen van de verordening. De sprekers waren niet enkel uitstekende experts, maar ook gerenommeerde practici. Doordat de ondernemingen met veel vragen zaten, gaven deze ateliers vaak aanleiding tot een levendig debat.
Een eerste atelier was opgebouwd rond de vraag: “Hoe zich voorbereiden om compliant te zijn met de verordening?”. Het tweede was gewijd aan de netelige kwestie van de rechtsgrond. Er werd bekeken onder welke voorwaarden gegevens geregistreerd en bewaard mogen worden, hoe toestemming correct wordt verkregen en wanneer die toestemming geldig is. In het derde atelier van de cyclus werd ingezoomd op de kwestie van het gebruik en de bescherming van gegevens binnen een onderneming.Zowel in hoofde van de werknemer als van de werkgever gelden er heel wat verplichtingen inzake privacy, beveiliging van gegevens en vertrouwelijkheid die vaak slecht gekend zijn. Het voorlaatste atelier boog zich over de aansprakelijkheid en sancties en de verdeling van de verplichtingen tussen de verantwoordelijke voor de verwerking en de onderaannemer. Tot slot werd het vijfde en laatste atelier gewijd aan data security en praktische tips and tricks over hoe men persoonsgegevens goed beveiligt en ‘data breaches’ voorkomt.
Dit boek biedt een samenvatting van de uiteenzettingen die in het kader van de Data Protection-cyclus werden gegeven. Het maakt deel uit van de werkinstrumenten die het VBO de ondernemingen wil aanreiken in hun voorbereiding op de GDPR. Het VBO heeft ook een brochure1 uitgegeven die bedoeld is voor een ruimer publiek, met daarin een aantal zeer eenvoudige aanbevelingen voor de ondernemingen.
Een goed begrip en een correcte toepassing van de nieuwe verordening is van cruciaal belang. De ondernemingen hebben nog ruim een jaar om zich voor te bereiden om compliant te zijn met de nieuwe regels. Een werk van lange adem, waarmee je liever vandaag dan morgen begint!
Het VBO wenst de bevoegde staatssecretaris, dhr. Philippe De Backer, te bedanken voor de initiatieven die hij nam, zoals het Private Privacy Platform, een forum waar de stakeholders en betrokken partijen hun bezorgdheden, maar ook mogelijke oplossingen met het oog op de nieuwe verordening, met elkaar kunnen delen. Onze dank gaat ook uit naar de Privacycommissie voor haar samenwerking met de bedrijfswereld in het kader van de implementering van de GDPR. En, last but not least, een welgemeend woord van dank aan alle sprekers die hebben deelgenomen aan de Data Protection-ateliers en aan de auteurs voor hun bijdrage aan dit boek.
Philippe LAMBRECHT
Bestuurder-Secretaris-generaal VBO
Nathalie RAGHENO
Eerste Adviseur VBO
1. http://www.vbo-feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_nl_web-pdf.pdf.
Le Règlement général sur la protection des données (General Data Protection Regulation ou GDPR, en anglais) est entré en vigueur le 24 mai 2016 et sera intégralement d’application à partir du 25 mai 2018.
Il a pour vocation de moderniser le droit de la protection de la vie privée et, partant, des données à caractère personnel. Plus qu’une simple réglementation, le GDPR instaure une nouvelle manière de travailler, de gérer les données, d’envisager leur communication à des tiers et les interconnexions possibles entre elles. Pour les entreprises, il est une belle occasion de procéder à un état des lieux de leurs fichiers et de leurs traitements. Ou d’examiner plus attentivement les mesures de sécurité et de protection des données déjà mises ou à mettre en place.
La nouvelle réglementation fait peser sur les entreprises ainsi que sur les autorités publiques qui enregistrent et traitent des données une responsabilité plus importante. C’est pourquoi, face à l’ampleur de la réforme, la FEB a pris les devants et a, au cours de l’année écoulée, organisé en ses locaux plusieurs séances d’information interactives – les « Ateliers Data Protection » –, qui ont suscité un vif intérêt. L’objectif de ces ateliers était de sensibiliser les participants aux conséquences immédiates et pratiques du règlement. Les orateurs invités étaient de très bons experts, mais aussi de très bons praticiens. Compte tenu des nombreuses questions soulevées par les entreprises, ces ateliers ont souvent donné lieu à un débat animé.
Le premier de ces ateliers abordait la question : « Comment se préparer pour être en conformité avec le règlement ? » Le deuxième était consacré à l’épineuse question des bases légales. On y a examiné les conditions pour pouvoir enregistrer et conserver des données, comment obtenir le consentement des personnes concernées et quand ce consentement est considéré comme valable. Le troisième atelier du cycle abordait la question de l’utilisation et de la protection des données au sein de l’entreprise. Du point de vue du travailleur comme de celui de l’employeur, les obligations en matière de respect de la vie privée, de sécurité des données, de confidentialité sont nombreuses et, souvent, peu ou mal connues. L’avant-dernier atelier, quant à lui, mettait l’accent sur la responsabilité et les sanctions, ainsi que sur la répartition des obligations entre responsable de traitement et sous-traitant. Enfin, le cinquième et dernier atelier était consacré à la sécurité des données et à des conseils pratiques pour bien protéger les données à caractère personnel et éviter les data breaches.
Le présent ouvrage reprend l’essentiel des exposés du cycle des « Ateliers Data Protection ». Il fait partie des outils que la FEB souhaite, dans le cadre du GDPR, mettre à la disposition des entreprises. La FEB a également édité une brochure1 destinée à un public plus large, expliquant le GDPR dans les grandes lignes et adressant aux entreprises quelques recommandations très simples.
La bonne compréhension et la mise en œuvre correcte du nouveau règlement par les entreprises sont essentielles. Ces dernières disposent encore d’une bonne année pour se préparer et se mettre en conformité, un travail de longue haleine, qui doit commencer dès aujourd’hui !
La FEB tient à remercier le secrétaire d’État Philippe De Backer pour les initiatives prises, telles que la Private Privacy Platform, qui permet à toutes les parties prenantes de partager leurs préoccupations et leurs éventuelles solutions concernant le nouveau règlement. Merci aussi à la Commission de la protection de la vie privée pour sa collaboration avec le monde des entreprises dans le cadre de la mise en œuvre du GDPR. Enfin, last but not least, un chaleureux merci à tous les orateurs qui ont participé aux « Ateliers Data Protection » et aux auteurs qui ont contribué à cet ouvrage.
Philippe LAMBRECHT
Administrateur – Secrétaire général FEB
Nathalie RAGHENO
Premier Conseiller FEB
1. http://www.feb.be/globalassets/publicaties/data-protection/feb_dataprotection_brochure_03_fr_web-pdf.pdf.
Nathalie RAGHENO
Premier Conseiller
FEB-VBO
Big Brother est infaillible et tout-puissant. Tout succès, toute réalisation, toute victoire, toute découverte scientifique, toute connaissance, toute sagesse, tout bonheur, toute vertu, sont considérés comme émanant directement de sa direction et de son inspiration1.
Lorsqu’on se replace en 1992, à l’époque où la loi du 8 décembre relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel a été votée en Belgique, nul n’y était vraiment préparé. Non que la vie privée et sa protection soient des nouveautés, mais traduire ces principes dans la réalité économique était complexe. La loi vie privée et les termes qu’elle utilisait – finalité, traitement, données sensibles… – étaient nouveaux et souvent difficiles à transposer dans la pratique. Les entreprises se sont rapidement renseignées auprès de leurs collègues d’autres pays qui connaissaient déjà une telle législation. Interrogés sur leur expérience en ce domaine, les avocats et juristes d’entreprise français, qui étaient déjà soumis à la Loi informatique et libertés depuis 1978, semblaient également avoir eu du mal à s’adapter, à mettre efficacement en œuvre ces termes complexes et à faire cadrer ce droit fondamental avec les procédures techniques des entreprises. Et nous étions bien loin, au début des années 1990, des développements techniques et informatiques qui sont apparus ces deux dernières décennies.
De par l’entrée en vigueur de la loi vie privée, les personnes physiques concernées par cette protection se sont soudain trouvées investies de nouvelles responsabilités, telles que de bien gérer leurs données personnelles ainsi que de surveiller l’usage que des tiers peuvent en faire. Les personnes et entreprises qui collectaient et géraient des fichiers d’informations dites à caractère personnel ont, de leur côté, dû évaluer ce qu’elles détenaient comme données, en faire l’inventaire, voir comment ces données étaient utilisées, croisées, mises à jour, communiquées… Bref, de nouvelles habitudes et manières de gérer les données personnelles avec, comme corollaire, de nouvelles obligations !
Près de vingt-cinq ans plus tard, la situation a-t-elle vraiment changé ? Si l’on met de plus en plus en évidence la nécessaire protection du droit à la vie privée, les personnes concernées semblent souvent peu s’intéresser, voire même se désintéresser de l’usage qui est fait de leurs données et des intrusions possibles dans leur vie privée. Évidemment, quand on les interroge, chacune d’elles confirme souhaiter protéger sa « vie privée ». Néanmoins, peu d’entre elles semblent prendre la mesure de ce droit, le faire valoir, veiller à son respect, le revendiquer. Que du contraire, la vie privée est de plus en plus souvent mise sur la place publique au travers des télé-réalités, des médias sociaux… avec une participation active de ces mêmes personnes qui déclaraient vouloir sauvegarder leur part d’intimité.
Mais que recouvre cette notion de vie privée ?
La définition du concept de vie privée est à géométrie variable. Les limites de la vie privée ainsi que, de manière générale, ce qui est considéré comme privé diffèrent évidemment selon les groupes, les cultures et les individus, selon les coutumes et les traditions, bien qu’il semble exister un certain tronc commun. En outre, le développement d’Internet et surtout des médias sociaux est un nouveau paramètre qui change totalement la donne. Dans ce cadre, la notion de vie privée recouvre également le droit à l’image, la protection des données, la confidentialité des communications électroniques et des systèmes d’information…
La vie privée recouvre une multitude de prérogatives très variées traduites dans de nombreux textes légaux et réglementaires et notamment l’article 8 de la Convention européenne des droits de l’homme (CEDH) et l’article 22 de la Constitution belge. La vie privée est également protégée au niveau international par l’article 12 de la Déclaration universelle des droits de l’homme (DUDH) de 1948 qui prévoit que « Nul ne sera l’objet d’immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes à son honneur. »
La Convention européenne des droits de l’homme rappelle également le caractère objectif de ces droits. Il ne s’agit pas de droits attribués aux individus par le biais d’un statut juridique particulier, potentiellement révocable, mais de droits qui sont attachés à la seule qualité de personne humaine.
Le concept de vie privée a des origines philosophiques assez anciennes. Ainsi, Aristote, au IVe siècle avant Jésus-Christ, faisait déjà la différence entre deux aspects de la vie : la vie imbriquée dans la sphère publique, appelée polis et associée à la politique, opposée à la vie relative à la sphère privée, l’oikos, associée à la vie domestique2. La notion de vie privée est apparue dans la doctrine juridique sous la plume de deux avocats de Boston, Samuel Warren et Louis Brandeis, auteurs d’un article intitulé « The right to privacy » et publié en 1890 dans la Harvard Law Review. Ils y parlent du droit d’être laissé seul. Ce « right to be let alone » fut emprunté à un ouvrage sur les torts publié quelques années plus tôt par un juge à la Cour suprême des États-Unis, Thomas Cooley3.
Dans son acception actuelle, cette notion n’est certainement pas susceptible d’une définition exhaustive et statique. C’est plutôt un droit aux contours variables, oscillant entre une volonté d’isolement de la personne par rapport à la société dans laquelle elle vit et celle d’une intégration au sein de cette société en contact avec les autres personnes. Dans les relations qu’elle noue avec les autres, la personne concernée n’entend pas protéger son droit d’être laissée seule, mais la liberté d’entretenir avec autrui des rapports placés à l’abri de toute ingérence extérieure non souhaitée.
La vie privée et, partant, la protection de la vie privée ne trouvent leur raison d’être que dans la société. Un individu isolé n’a pas de raison de protéger ce à quoi nul ne portera atteinte. C’est dès lors dans le cadre de la société et des interactions entre les individus que la vie privée se doit d’être protégée.
À côté de la protection du droit à la vie privée, on a vu apparaître la protection des données elles-mêmes qui est plus récente. Elle est notamment liée aux développements informatiques et aux risques collatéraux inhérents à ceux-ci.
C’est, entre autres, pour s’adapter aux nouvelles technologies et notamment aux Facebook, Twitter, LinkedIn, MySpace, YouTube et autres médias sociaux que le Règlement général de protection de données (ci-après, « le GDPR ») a été rédigé au niveau européen. Les auteurs du GDPR avaient pour objectif de moderniser le texte de la directive pour tenir compte des nouvelles technologies et notamment des médias sociaux et de leur impact sur la vie privée des personnes concernées, ainsi que d’harmoniser les règles existant au niveau européen afin que la protection offerte soit comparable, mais surtout que les limites floues de la vie privée soient comprises et appréhendées d’une manière uniforme partout dans l’Union européenne.
Le GDPR témoigne de la volonté politique à tous les niveaux de mieux protéger la vie privée des individus dans une société où le concept de vie privée ne cesse de s’élargir et, à mesure de cet élargissement, d’échapper à toute tentative de définition. Le vote laborieux des dispositions du GDPR, après des années de négociation, s’est accompagné de nouvelles règles permettant au citoyen de mieux maîtriser, en principe, le contrôle de ses données personnelles. Toutefois, ces droits supposent que le citoyen les connaisse et souhaite en faire usage, sous peine de rester lettre morte.
La vie privée ainsi que l’ensemble des données personnelles appartiennent à l’individu et font de lui cette personne unique avec ses aspects d’ombre et d’intimité et sa partie visible.
Chacun décide des limites qu’il souhaite fixer entre cette partie émergée de ses données et celles qu’il décide de conserver dans la sphère privée.
Si les personnes publiques doivent accepter que cette frontière soit plus flexible ou que, du moins, une certaine part de leur intimité puisse, dans certains cas et dans certaines mesures, appartenir à leur vie publique, il n’en va pas de même pour l’individu lambda.
Les époques, les cultures, les religions font fluctuer la limite que chacun fixe entre sa part de personnalité qu’il conserve pour lui, pour ses proches éventuellement, et ce qu’il accepte de dévoiler. Cette ouverture au public, à la société, aux autres se présente comme autant de strates, de couches successives. Ce que l’on dévoile à l’entourage familial, les informations partagées avec les amis, les relations sociales, l’entourage professionnel direct, les relations professionnelles, avec son médecin, son avocat, et même des tiers, rencontrés et/ou connus ou non, sont autant de données qui se cumulent et se chevauchent. L’ensemble de ces informations mises en commun révèle une personne, une personnalité. Vie privée et vie publique ont une frontière floue et flexible, même pour une seule et même personne au fur et à mesure de sa vie et des périodes et circonstances de celle-ci.
Si l’évolution de notre société depuis le siècle passé a, peu à peu, fait reculer les limites de ce que l’on accepte de dévoiler, la révolution d’Internet et les réseaux sociaux ont fait voler en éclat les précédentes frontières entre privé et public.
Permettant à tout individu de s’exprimer, de s’informer et d’informer les autres sur lui et sur d’autres sujets, ces nouveaux canaux de communication offrent d’énormes avantages, mais présentent, en contrepartie, certains risques.
« Le réseau social est le lieu idéal de promotion des libertés : liberté de communiquer, liberté de s’informer et de connaître, liberté de se mouvoir, liberté d’entreprendre, liberté d’association. Ces libertés sont fragilisées par le contrôle et par la multiplication des traces que nous laissons de l’exercice de ces libertés. Ce contrôle permet de mieux nous cerner, nous profiler, nous tracer dans nos déplacements tant virtuels que physiques. »4
Mais il ne s’agit pas uniquement des réseaux sociaux. La société et ses moyens de communication ont fait évoluer les comportements. L’individu s’expose de plus en plus au travers des télé-réalités, des concours radiodiffusés, télévisés, comme sur la Toile. Il y dévoile son lieu de vie, sa famille, ses goûts…
Il existe néanmoins une sphère d’intimité dont chacun doit pouvoir rester maître et pouvoir choisir ce qu’il souhaite montrer ou non. Évidemment, dévoiler certaines données personnelles n’implique pas automatiquement que celles-ci soient utilisées, ni même réutilisées à d’autres fins que celles pour lesquelles on accepte de les communiquer. Le problème sous-jacent est la centralisation des données qui circulent sur le Net. Il est difficile d’avoir un contrôle absolu de toutes les interconnexions, lieux et autres utilisations subséquentes de ses données personnelles.
Dès le début des années 2000, des auteurs traitaient de la mort de la « privacy » avec toutes les informations stockées en ligne et interconnectées. Certains d’entre eux se demandaient si l’on peut encore parler de vie privée pour les données qui circulent librement sur Internet5.
La question centrale est non seulement de savoir si un citoyen a encore la possibilité de conserver, dans ce cadre, une part d’intimité, mais également que souhaite-t-il conserver comme intimité, quelle part de lui-même ne souhaite-t-il pas dévoiler.
Lorsqu’on like sur un blog ou une page Internet, est-on conscient qu’on s’expose également, que l’on fait part de ses goûts, de ses opinions, de ses sensibilités ? Et partant, ces informations sont-elles réellement et essentiellement inintéressantes et/ou inoffensives ? Il en va de même pour les cartes de fidélité et la liste de questions sur ses goûts, ses habitudes d’achat, ses attentes qui sont autant d’occasions de dévoiler ces petites informations qui font partie de la personnalité de chacun et de sa vie privée.
C’est pourquoi les personnes concernées doivent prendre conscience que la communication et/ou la publication, notamment sur le Net, d’informations ont comme conséquence de rendre publics des aspects de la vie privée, et ce, même si les informations publiées ne sont adressées qu’à des amis ou des followers. Il est, en effet, plus que probable qu’elles seront repartagées, et, donc, l’individu en perd la maîtrise. Les transmissions de données représentent toujours un danger potentiel pour l’individu. Des communications successives provoquent, en effet, un éparpillement des données qui rend très difficile le contrôle de leur utilisation ultérieure par la personne concernée.
Un autre exemple de divulgation d’informations concerne l’usage du GPS et du Smartphone qui permet de nous géolocaliser et de retracer notre parcours. Pour les utilisateurs de UBER, bon nombre d’entre eux acceptent explicitement, en cliquant sur allow, sans aucune remarque, d’être géolocalisés par cette application, même après la course terminée. À chaque transaction électronique, le titulaire de la carte bancaire révèle à un tiers sa personnalité, ses projets et ses dépenses.
Je n’ai rien à cacher, donc pourquoi en faire secret ?
Pourquoi vouloir protéger ses données personnelles quand on n’a rien à cacher ? Mais toute information est-elle réellement sans conséquence dans le temps et en fonction de l’évolution des circonstances ?
Il est essentiel de conscientiser et d’éduquer les individus concernés, les former dès le plus jeune âge à ces outils, leur montrer leurs avantages, mais également les risques qui en sont le corollaire obligé. Ce sont les comportements qui doivent changer, liés à une prise de conscience des conséquences inhérentes à cette divulgation d’informations, parfois anodines, mais qui, interconnectées ou utilisées dans certaines circonstances, peuvent s’avérer moins inoffensives, voire même parfois gênantes.
Cependant, dans une société hyperconnectée, numérisée, sachant également que l’ensemble des données communiquées notamment via Facebook, Google, Amazon… est stocké sur des serveurs, et est donc exploitable, est-il encore possible de se protéger ? Y a-t-il encore moyen de se préserver et de protéger une part de sa vie privée ? Un retour en arrière est-il possible, par exemple en se retranchant, dans certains cas, derrière ce fameux droit à l’oubli consacré par le GDPR ?
Le jeune Autrichien Max Schrems, qui a voulu accéder aux données que Facebook stockait sur lui, comme le droit européen l’y autorise, a mis deux ans et une vingtaine de procédures devant différentes juridictions pour y parvenir. Quelle ne fut pas sa surprise de se rendre compte que toutes ses données effacées étaient encore, en réalité, stockées, même si, en principe, non accessibles.
Le GDPR s’est emparé de l’ensemble de ces problématiques, à la suite de la directive de 1995, en modernisant les règles de cette dernière à la lumière de nouvelles technologies et de médias sociaux notamment.
Mais, au-delà du GDPR et de ce qu’il met en place comme protection des données, la première question à se poser n’est-elle pas de savoir ce que souhaite réellement la personne concernée quand elle dévoile volontairement et sans réserve des données personnelles ? Si elle est informée clairement des conséquences et de l’utilisation possibles de ses données, doit-on également la protéger contre elle-même ?
Non que je veuille déresponsabiliser ou blanchir a priori tous les « ficheurs », responsables de traitement (les bien nommés) ou sous-traitants, entreprises ou personnes physiques. Il faut, certes, une déontologie et un cadre légal d’autant plus important que les possibilités de divulguer, de faire circuler, de collecter, d’enregistrer, de copier… des données sont inévitables et se multiplient.
Mais les premiers responsables et garants de leur vie privée ne sont-ils pas les personnes concernées elles-mêmes ? Ne faut-il pas, avant toute chose, les éduquer, faire peser sur elles également une certaine responsabilité quant à la gestion des données qui leur appartiennent et ce, avant de brandir des sanctions à l’égard de ceux qui utilisent, le plus souvent de manière honnête, les données qui leur ont été volontairement fournies ?
Si l’objectif du GDPR de mettre à charge des « ficheurs » une série de règles relatives à la gestion légitime, sécurisante et transparente des données traitées est évidemment indispensable, il ne faut certainement pas négliger le fait qu’il y a, en contrepartie, des personnes qui livrent ces données, ces informations, parfois pour obtenir un avantage, et également parfois avec plus de complaisance ou un manque de discernement contre lesquels on ne peut rendre responsable à 100 % le ficheur. L’éducation des personnes concernées doit être un des premiers objectifs du GDPR.
À l’ère de la société ultraconnectée, la tentation de collecter et de recouper un nombre toujours plus important de données personnelles est grande. Pour s’en prémunir, il faut passer par un double garde-fou : d’une part, le principe de finalité des données collectées et, d’autre part, celui de proportionnalité des intérêts lié également à la data-minimisation.
Le droit à l’autodétermination, qui est le droit de tout individu à maîtriser l’image qu’il donne de lui-même dans la société, doit être protégé des risques d’abus résultant des possibilités actuelles et futures de traitements automatisés de l’information. Il ne peut cependant s’entendre de façon absolue. Comme l’avait déjà souligné le Tribunal constitutionnel fédéral allemand dans un jugement de 1985 : « L’individu n’exerce pas une souveraineté absolue sur les faits le concernant ; sa personnalité se développant au sein d’une communauté sociale, il ne peut vivre sans communiquer. L’information, même si elle est nominative, est une représentation de la réalité sociale, qui n’est pas uniquement la propriété de l’individu concerné […]. La Loi fondamentale résout la dichotomie individu-société en considérant la personne comme une entité liée et insérée dans la société. C’est pourquoi, en principe, l’individu doit accepter des restrictions de son droit à l’autodétermination en matière d’information[,] et ce, en faveur de l’intérêt général prépondérant. »6
Le fait de mettre sa vie privée à disposition d’un public, même restreint et choisi, ne peut-il être considéré comme un renoncement à une certaine protection prévue par la loi ? Quand y a-t-il réellement atteinte à la vie privée ? Qui décide qu’il y a atteinte ?
Les principes fondamentaux des lois relatives aux traitements de données à caractère personnel (droit d’accès, principe de finalité…) participent à la construction d’un système de protection à la recherche d’un équilibre entre des intérêts et/ou libertés qui s’opposent.
Ce difficile équilibre est mis en exergue par le contentieux de plus en plus fourni où se mêlent des questions aussi diverses que la photo indiscrète de nos têtes couronnées ou stars de nos petits écrans, la perquisition d’un cabinet d’affaires, la plainte d’un groupe de riverains non informés par l’administration de la présence d’une industrie polluante, la volonté de changer de nom, si ce n’est d’identité sexuelle, la recherche d’une hérédité, etc.7.
Puisque l’individu n’est pas propriétaire des données le concernant, ni même titulaire sur elles d’un droit proche d’un droit réel, puisque c’est de façon spontanée que l’individu projette dans la société une certaine image de lui, cette image précisément peut être captée par autrui, rapprochée d’autres informations et prendre ainsi un sens aux yeux de celui qui la traite. Il ne peut être question a priori de nier à autrui le droit d’utiliser l’image que je donne de moi-même. À ma liberté s’oppose la sienne[,] qu’il s’agisse de la liberté d’association dans le cadre de traitements opérés par un syndicat, de la liberté religieuse dans le cadre de traitements gérés par l’autorité religieuse ou plus fréquemment de la liberté d’entreprendre dans le cas de fichiers d’entreprises. Ce conflit de libertés doit se résoudre par la méthode de pondération des intérêts par laquelle l’autorité chargée de trancher le conflit appréciera les intérêts légitimes respectifs propres à chaque partie exprimant sa liberté. »8
La méthode de pondération des intérêts est ici la clé de voûte permettant un équilibre entre les intérêts des parties concernées. Les législations de protection des données entendent définir certains critères qui permettent de préciser le droit à l’information du « ficheur », expression tantôt de sa liberté d’entreprendre dans le secteur privé, tantôt de son rôle de gardien de l’intérêt général dans le secteur public.
L’exigence de pondération des intérêts est au centre du débat de la notion de vie privée. « Le concept juridique de vie privée ne saurait donner lieu à une application syllogistique permettant d’identifier par une opération purement logique la situation appréhendée par le concept de vie privée. La méthode de pondération d’intérêts est la seule appropriée, mais comme son terme l’indique, loin de se prononcer sur l’étendue d’un droit subjectif, le juge pèse les intérêts respectifs des parties en présence à la lumière de l’intérêt général. »9
Dans le secteur privé, le service attendu de l’entreprise collectrice de données est à la fois la justification et la limite de l’usage des renseignements. Certains aspects de la vie privée peuvent être sacrifiés volontairement, normalement en échange de certains avantages ou même bénéfices.
Néanmoins, il arrive souvent que ces avantages soient très faibles, voire inexistants ou non souhaités par les personnes concernées. Quand on pense aux contrôles accrus dans de nombreux domaines, l’intérêt général prime les bénéfices individuels et les attentes des personnes fichées. On constate une multiplication des hypothèses de levée du secret permises à l’autorité publique. Songeons aux dispositions relatives au PNR (Passenger Name Record
Outre les deux principes évoqués de finalité et de proportionnalité, le consentement est également un garde-fou important, et ce, pour autant que les personnes concernées prennent en charge la responsabilité de leur image informationnelle. Pour les réseaux sociaux, même s’il s’agit de consentir à des clauses d’adhésion non négociables, ce consentement est exprimé au moment de l’inscription sur le réseau, mais, à de nombreuses reprises, l’utilisateur est appelé à consentir. Il consent implicitement, mais certainement, lorsqu’il choisit de communiquer des informations qu’il injecte dans le réseau social. Plus que de consentir, il traite ses propres données. Il est même responsable de traitement pour les données de tiers qu’il met en ligne.
L’ambiguïté des attentes des personnes qui confient leurs données personnelles rend d’autant plus complexe la tâche des responsables de traitement de bien les informer, clairement et efficacement. Car, au-delà du consentement, on se heurte souvent à une absence de prise de conscience des personnes concernées de l’utilisation possible et probable de leurs données, de l’étendue des informations qui sont traitées et qui circulent.
Il existe également une réelle dichotomie entre la volonté des individus de s’ouvrir aux autres, et ce, notamment, au travers des nouveaux moyens de communication, et leur légitime volonté de se protéger, de protéger la part de vie privée qu’ils veulent se réserver. Mais cette part fluctue en fonction des circonstances, des avantages qu’ils y trouvent, des contreparties souhaitées ou proposées par le « ficheur ».
La vie privée et l’ensemble des données personnelles qui appartiennent à l’individu, qui font de lui cette personne unique avec ses aspects d’ombre et d’intimité et sa partie visible, ouverte vers la société, doivent être protégés et traités de manière loyale, licite et transparente par les responsables de traitement. Mais chaque individu est également responsable de l’usage qu’il fait de ses données, de la gestion de son image. Et, partant, chacun doit également décider des limites qu’il souhaite fixer entre la partie émergée de ses données et celles qu’il décide de conserver dans la sphère privée, et agir en conséquence.
Cette responsabilisation doit être l’un des objectifs d’une législation protectrice de la vie privée et des données personnelles. On ne peut essentiellement faire porter la charge de la responsabilité, l’ensemble des contraintes et le contrôle des données sur ceux qui utilisent ces données.
Le GDPR doit également être un outil de sensibilisation, d’éducation, d’information de ceux qu’il entend protéger.
La vie privée existe toujours, mais les risques d’atteinte sont de plus en plus grands et de plus en plus nombreux, et il appartient donc à la personne concernée elle-même qui souhaite la préserver et préserver ses données de prendre également en charge les mesures de protection adéquates.
. G. O, , (trad. Amélie Audiberti), Paris, Gallimard, 1972, partie II, chap. 9, p. 276.
2. J. DECEW, « Privacy », Stanford Encyclopedia of Philosophy Archive, Spring, 2015 (https://plato.stanford.edu/archives/spr2015/entries/privacy/).
3. Y. POULLET, « La liberté de la vie privée : de l’éclosion à l’explosion », in La vie privée, une liberté parmi les autres, Bruxelles, Larcier, 1992, p. 1 ; B. DOCQUIR, Le droit de la vie privée, Bruxelles, De Boeck-Larcier, 2008, p. 27.
4. J.-Ph. MOURY et Y. POULLET, « Les réseaux sociaux, le droit et les volontés qui les animent », in Le droit des affaires en évolution. Social media: le droit ou l’anarchie ?, Bruxelles, Bruylant, 2012, p. 46.
5. Lire, sur ce sujet, A. CASILLI, Les liaisons numériques : vers une nouvelle sociabilité ?, Paris, Seuil, 2010.
6. H. BURKERT, « Le jugement du Tribunal constitutionnel fédéral allemand sur le recensement démographique », D.I.T. Droit de l’informatique et des télécommunications, 1985, pp. 8-16.
7. Y. POULLET, préface de l’ouvrage de B. DOCQUIR, op. cit., p. 9.
8. Y. POULLET, X. THUNIS et Th. LÉONARD, La vie privée – Une liberté parmi les autres ?, Bruxelles, Larcier, 1992, p. 240.
9. Fr. RIGAUX, La protection de la vie privée et autres biens de la personnalité, Bruxelles, Bruylant, 1990, p. 770.